Anzeige
Das Icon-Set Genericons enthält eine Beispieldatei mit einer Sicherheitslücke.
Das Icon-Set Genericons enthält eine Beispieldatei mit einer Sicherheitslücke. (Bild: Screenshot / Genericons)

Websicherheit: Erneut Cross-Site-Scripting-Lücke in Wordpress entdeckt

Das Icon-Set Genericons enthält eine Beispieldatei mit einer Sicherheitslücke.
Das Icon-Set Genericons enthält eine Beispieldatei mit einer Sicherheitslücke. (Bild: Screenshot / Genericons)

In der Blog-Software Wordpress ist erneut eine Cross-Site-Scripting-Sicherheitslücke gefunden worden. Ursache ist eine Beispieldatei eines Icon-Sets. Betroffen sind das Default-Theme Twenty Fifteen und das Jetpack-Plugin.

Anzeige

Zum dritten Mal innerhalb kurzer Zeit sind Nutzer von Wordpress-Blogs durch eine Cross-Site-Scripting-Sicherheitslücke bedroht. Die Firma Sucuri hat in einer Beispieldatei, die mit dem unter der GPL veröffentlichten Icon-Set Genericons mitgeliefert wurde, diese Lücke gefunden.

Twenty-Fifteen-Theme und Jetpack betroffen

Genericons wird von diversen Wordpress-Themes und Plugins verwendet, unter anderem vom Twenty-Fifteen-Theme, dem aktuellen Default-Theme von Wordpress. Auch Nutzer, die das Default-Theme nicht benutzen, sind von der Lücke betroffen. Es reicht bereits, dass das Theme installiert ist. Auch das beliebte Jetpack-Plugin nutzt Genericons und enthält eine verwundbare Beispieldatei.

Die älteren Default-Themes von Wordpress Twenty Fourteen und Twenty Thirteen verwenden Genericons ebenfalls, allerdings in einer älteren Verison, in der diese Lücke noch nicht vorhanden ist.

DOM-basierte XSS-Lücke

Bei der Lücke handelt es sich um eine sogenannte DOM-basierte Sicherheitslücke. Während die meisten Cross-Site-Scripting-Lücken so funktionieren, dass ein Server eine potenziell von einem Angreifer kontrollierte Variable ungefiltert an den Nutzer zurückgibt, finden DOM-basierte Lücken alleine im Client statt. Der eingeschleuste Javascript-Code wird durch den Anker-Paramter # an die URL angehängt und durch das in der Beispieldatei enthaltene Javascript ausgeführt.

Die Ausnutzung der Lücke funktioniert nicht in allen Browsern. Chrome, Safari und der Internet Explorer besitzen einen Filter für sogenannte Reflected-XSS-Angriffe, also Cross-Site-Scripting-Angriffe, die direkt über die URL ausgelöst werden. Firefox hat jedoch bislang noch keinen derartigen XSS-Filter.

Wordpress hat die Version 4.2.2 veröffentlicht, in der das Problem behoben ist - die entsprechende Beispieldatei wird beim Update entfernt. Das betroffene Theme wird dabei auf die Version 1.2 aktualisiert. Wordpress versucht weiterhin zu erkennen, ob andere installierte Themes oder Plugins diese verwundbare Datei mitliefern. In den Release Notes von Wordpress 4.2.2 wird außerdem erwähnt, dass für eine andere Lücke, die in der vorherigen Version 4.2.1 bereits behoben worden war, ein vollständiger Fix implementiert wurde.

Jetpack verharmlost Problem

Jetpack hat das Problem in Version 3.5.3 behoben. Die Jetpack-Entwickler erwähnen in ihren Release Notes nicht, dass hier eine Sicherheitslücke behoben wurde, es ist lediglich von "Security Hardening" die Rede. Auch findet sich auf der Jetpack-Webseite kein Hinweis auf die Sicherheitslücke.

In Wordpress gab es zuletzt diverse Probleme mit Cross-Site-Scripting-Lücken. Kürzlich hatte der Sicherheitsforscher Jouko Pynnönen darüber berichtet, wie man mit einem überlangen Kommentar Javascript-Code in eine Seite einfügen konnte. Pikant daran war, dass Pynnönen behauptet, bereits vor vielen Monaten versucht zu haben, das Wordpress-Team auf dieses Problem hinzuweisen. Seine Kontaktversuche seien aber ignoriert worden. Kurz zuvor war bereits eine Cross-Site-Scripting-Lücke in zahlreichen beliebten Plugins entdeckt worden.

Content Security Policy würde helfen

Cross-Site-Scripting-Probleme, häufig als XSS abgekürzt, gehören zu den häufigsten Sicherheitslücken in Webanwendungen. Ein in modernen Browsern unterstützter HTTP-Header namens Content Security Policy kann - richtig angewendet - nahezu alle Cross-Site-Scripting-Lücken verhindern. Allerdings nutzen bisher nur wenige Webanwendungen diesen Header, da die Umstellung von bestehenden Anwendungen sehr aufwändig ist. Auch Wordpress nutzt Content Security Policy bislang nicht. Angesichts der Vielzahl an Problemen mit Cross-Site-Scripting-Lücken sollte Wordpress das dringend nachholen.


eye home zur Startseite
hannob (golem.de) 07. Mai 2015

Kurze Antwort: It's complicated :-) Also erstmal: Plugins können im Prinzip Javascript...

Kommentieren



Anzeige

  1. Entwicklungsingenieur / Domain Product Owner / Planning & Realization / Software-Koordination GUI (m/w)
    Daimler AG, Sindelfingen
  2. Sachbearbeiterin / Sachbearbeiter Energiedatenmanagement
    Stadtwerke Solingen GmbH, Solingen
  3. (Junior) Technical Consultant Automotive Vernetzte Dienste (m/w)
    T-Systems on site services GmbH, München, Gaimersheim, Leinfelden-Echterdingen
  4. Fachanalyst/in
    Landeshauptstadt München, München

Detailsuche



Anzeige

Folgen Sie uns
       


  1. Förderung

    Telekom räumt ein, dass Fiber-To-The-Home billiger sein kann

  2. Procter & Gamble

    Windel meldet dem Smartphone, wenn sie voll ist

  3. AVM

    Routerfreiheit bringt Kabel-TV per WLAN auf mobile Geräte

  4. Oculus App

    Vive-Besitzer können wieder Rift-exklusive Titel spielen

  5. Elektroauto

    Supersportwagen BMW i8 soll 400 km rein elektrisch fahren

  6. Keine externen Monitore mehr

    Apple schafft Thunderbolt-Display ersatzlos ab

  7. Browser

    Safari 10 soll auch auf älteren OS-X-Versionen laufen

  8. Dota

    Athleten müssen im E-Sport mehr als nur gut spielen

  9. Die Woche im Video

    Superschnelle Rechner, smarte Zähler und sicherer Spam

  10. Axanar

    Paramount/CBS erlaubt Star-Trek-Fanfilme



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
Vorratsdatenspeicherung: Vorgaben übertreffen laut Eco "schlimmste Befürchtungen"
Vorratsdatenspeicherung
Vorgaben übertreffen laut Eco "schlimmste Befürchtungen"
  1. Vorratsdatenspeicherung Alarm im VDS-Tresor
  2. Neue Snowden-Dokumente NSA lobte Deutschlands "wesentliche" Hilfe im Irak-Krieg
  3. Klage Verwaltungsgericht soll Vorratsdatenspeicherung stoppen

E-Mail-Verschlüsselung: EU-Kommission hat Angst vor verschlüsseltem Spam
E-Mail-Verschlüsselung
EU-Kommission hat Angst vor verschlüsseltem Spam
  1. Netflix und Co. EU schafft Geoblocking ein bisschen ab
  2. Android FTC weitet Ermittlungen gegen Google aus
  3. Pay-TV Paramount gibt im Streit um Geoblocking nach

Rust: Ist die neue Programmiersprache besser?
Rust
Ist die neue Programmiersprache besser?
  1. Oracle-Anwältin nach Niederlage "Google hat die GPL getötet"
  2. Java-Rechtsstreit Oracle verliert gegen Google
  3. Oracle vs. Google Wie man Geschworene am besten verwirrt

  1. Bei den heutigen Eltern wundert mich garnichts mehr

    Kenterfie | 13:34

  2. Oculus-DRM

    dEEkAy | 13:34

  3. Re: Lets encrypt vs Comodo

    azeu | 13:34

  4. Re: Das läuft dann wie bei Druckern...

    Trollmagnet | 13:34

  5. Re: Dvb-c

    TC | 13:33


  1. 10:36

  2. 09:50

  3. 09:15

  4. 09:01

  5. 14:45

  6. 13:59

  7. 13:32

  8. 10:00


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel